剣 KENSAI
← Back to archive
🛡️ KENSAI BEDROHUNGSANALYSE

Tägliche Sicherheitsforschung

22.03.2026 · Samstag 21. März → Sonntag 22. März · Automatisch generiert um 04:00 MEZ

⚡ Kurzübersicht — Was heute wichtig ist

  • Trivy-Lieferkettenangriff eskaliert — neuer selbstverbreitender „CanisterWorm" befällt 47 npm-Pakete mittels Blockchain-basiertem C2
  • Oracle-Notfallpatch — CVE-2026-21992 (CVSS 9.8) ermöglicht nicht-authentifizierte RCE in Identity Manager
  • FBI warnt vor russischem Signal-/WhatsApp-Phishing — tausende Konten bereits kompromittiert
  • DoJ zerschlägt rekordverdächtige DDoS-Botnets — 3 Mio.+ Geräte, 31,4 Tbps Angriffe unterbunden
  • CISA-Frist HEUTE — maximale Schwachstelle in Cisco FMC CVE-2026-20131 muss bis 22. März gepatcht werden
  • Langflow-RCE innerhalb von 20 Stunden ausgenutzt — CVE-2026-33017 (CVSS 9.3) wird aktiv angegriffen
  • Navia-Datenpanne betrifft 2,7 Mio. Personen — persönliche und Krankenversicherungsdaten gestohlen
🔗 Lieferkettenangriffe

Trivy-Scanner kompromittiert — CanisterWorm breitet sich auf 47 npm-Pakete aus

Lieferkette kritisch

Der Schwachstellenscanner Trivy von Aqua Security wurde innerhalb eines Monats zum zweiten Mal kompromittiert. Die Bedrohungsgruppe TeamPCP kaperte 75 GitHub-Action-Tags in aquasecurity/trivy-action und aquasecurity/setup-trivy und injizierte Credential-stehlende Malware in CI/CD-Pipelines. Ein Folgeangriff setzte CanisterWorm ein — einen selbstverbreitenden Wurm, der 47 npm-Pakete in @EmilGroup, @opengov und weiteren Scopes infizierte. Der Wurm nutzt Internet Computer Protocol (ICP) Blockchain-Canisters als Dead-Drop-C2-Resolver — der erste dokumentierte Fall dieser Technik — was eine Abschaltung extrem schwierig macht. Persistenz über systemd-Dienste, die sich als PostgreSQL-Tools tarnen.

Quellen: The Hacker News · BleepingComputer

Magento PolyShell — Nicht-authentifizierter Upload & RCE über REST API

kritisch

Sansec entdeckte eine kritische Schwachstelle in Magentos REST API, die nicht-authentifizierten Angreifern ermöglicht, beliebige ausführbare Dateien als Bilder getarnt hochzuladen und Remote Code Execution sowie Kontoübernahmen zu erreichen. Der als PolyShell bezeichnete Angriff nutzt die Bildverarbeitung aus. Bisher keine öffentliche Ausnutzung beobachtet, aber tausende Magento-Seiten sind bereits von einer separaten, seit dem 27. Februar laufenden Defacement-Kampagne betroffen.

Quellen: The Hacker News · SecurityWeek

🚨 Kritische CVEs & Patches

CVE-2026-21992 — Oracle Identity Manager nicht-authentifizierte RCE

kritisch CVSS 9.8

Oracle veröffentlichte einen außerplanmäßigen Notfallpatch für eine kritische nicht-authentifizierte Remote-Code-Execution-Schwachstelle in Identity Manager und Web Services Manager. Keine Authentifizierung zur Ausnutzung erforderlich. Oracle drängte auf sofortige Aktualisierung.

Quelle: The Hacker News

CVE-2026-20131 — Cisco Secure Firewall Management Center (Maximaler Schweregrad)

kritisch CVSS 10.0

CISA ordnete an, dass alle Bundesbehörden diese Schwachstelle mit maximalem Schweregrad in Cisco FMC bis heute, 22. März patchen müssen. Die Details deuten darauf hin, dass eine vollständige Systemkompromittierung möglich ist. In den CISA-Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Quelle: BleepingComputer

CVE-2026-33017 — Langflow nicht-authentifizierte RCE (Innerhalb von 20 Stunden ausgenutzt)

kritisch CVSS 9.3

Kritische Schwachstelle durch fehlende Authentifizierung und Code-Injection in Langflow (populärer KI-Workflow-Builder). Bedrohungsakteure bewaffneten die Schwachstelle innerhalb von 20 Stunden nach der öffentlichen Bekanntgabe über den POST /api/v1-Endpunkt. Verdeutlicht das schrumpfende Zeitfenster für Patch-Bereitstellung.

Quelle: The Hacker News

CISA nimmt Apple, Craft CMS, Laravel Livewire in KEV-Katalog auf

aktiv ausgenutzt

Fünf weitere Schwachstellen wurden mit einer Patch-Frist bis 3. April 2026 in den CISA-KEV-Katalog aufgenommen. Darunter CVE-2025-31277 (Apple, CVSS 8.8) sowie Schwachstellen in Craft CMS und Laravel Livewire. Alle unter aktiver Ausnutzung bestätigt.

Quelle: The Hacker News

CVE-2025-32975 — Quest KACE-Ausnutzung im Bildungssektor

kritisch

Kritische Schwachstelle in der Quest KACE Systemmanagement-Appliance, die möglicherweise gegen Ziele im Bildungssektor ausgenutzt wird. Organisationen, die Quest KACE einsetzen, sollten sofort patchen.

Quelle: SecurityWeek

🎯 Staatliche Akteure & Spionage

FBI/CISA: Russische Geheimdienste nehmen Signal & WhatsApp massenhaft ins Visier

staatlicher Akteur hohe Auswirkung

FBI und CISA veröffentlichten eine gemeinsame öffentliche Warnung, dass russische Geheimdienste massenhafte Phishing-Kampagnen gegen Signal- und WhatsApp-Nutzer durchführen. Zu den Zielpersonen gehören aktuelle und ehemalige US-Regierungsbeamte, Militärangehörige, politische Persönlichkeiten und Journalisten. Tausende Konten bereits kompromittiert. Nach dem Zugriff lesen die Akteure Nachrichten, stehlen Kontakte, geben sich als Opfer aus und starten weitere Phishing-Angriffe über vertrauenswürdige Identitäten. FBI-Direktor Kash Patel bestätigte die Kampagne auf X.

Quellen: The Hacker News · BleepingComputer

USA bestätigen Verbindung von Handala zur iranischen Regierung

staatlicher Akteur

Die US-Regierung hat mehrere von Handala genutzte Domains beschlagnahmt und die Verbindung zur iranischen Regierung bestätigt. Die Gruppe führte cybergestützte psychologische Operationen durch. Domains wurden in einer koordinierten Aktion stillgelegt.

Quelle: SecurityWeek

3 Männer wegen Schmuggel von KI-Hardware nach China angeklagt

Exportkontrollen

Drei Personen wurden angeklagt, gegen US-Exportkontrollgesetze verstoßen zu haben, indem sie große Mengen hochleistungsfähiger KI-Server, die in den USA zusammengebaut wurden, nach China umleiten wollten.

Quelle: SecurityWeek

🤖 Botnets & DDoS

DoJ zerschlägt IoT-Botnets mit 3 Mio. Geräten — Rekord-DDoS von 31,4 Tbps

kritisch

Das US-Justizministerium hat zusammen mit kanadischen und deutschen Behörden die C2-Infrastruktur der Botnets AISURU, Kimwolf, JackSkid und Mossad zerschlagen — die zusammen über 3 Millionen infizierte IoT-Geräte (DVRs, Smart-TVs, Set-Top-Boxen) kontrollierten. Diese Botnets führten rekordverdächtige DDoS-Angriffe mit bis zu 31,4 Tbps durch. Eine umfangreiche Koalition aus der Privatwirtschaft unterstützte die Aktion (Akamai, AWS, Cloudflare, Google, Oracle, PayPal u.a.). Zu den Verdächtigen gehören ein 23-Jähriger aus Kanada und ein 15-Jähriger aus Deutschland. Keine Verhaftungen bekannt gegeben.

Quelle: The Hacker News

💀 Datenpannen

Navia-Datenpanne — 2,7 Millionen Betroffene

großflächig

Zwischen Ende Dezember 2025 und Mitte Januar 2026 stahlen Hacker persönliche und Krankenversicherungsdaten aus der Umgebung von Navia, wovon 2,7 Millionen Personen betroffen sind. Gesundheits- und Leistungsdaten wurden kompromittiert.

Quelle: SecurityWeek

Tausende Magento-Seiten von laufender Defacement-Kampagne betroffen

Webangriffe

Eine am 27. Februar gestartete Massendefacement-Kampagne hat tausende Magento-basierte E-Commerce-Seiten getroffen und dabei globale Marken und sogar Regierungsdienste ins Visier genommen. In Kombination mit der neuen PolyShell-Schwachstelle stehen Magento-Betreiber vor einer ernsten Bedrohungslage.

Quelle: SecurityWeek

🎣 Phishing & Social Engineering

Microsoft Azure Monitor-Warnungen für Callback-Phishing missbraucht

Phishing

Angreifer missbrauchen Microsoft Azure Monitor-Warnungen, um Callback-Phishing-E-Mails zu versenden, die das Microsoft Security Team imitieren. Die E-Mails warnen vor unautorisierten Abbuchungen und verleiten Opfer dazu, angreifergesteuerte Telefonnummern anzurufen.

Quelle: BleepingComputer

📱 Plattform- & Tool-Updates

Google Android „Advanced Flow" — 24-Stunden-Sideloading-Wartezeit

Android

Google kündigte einen neuen Sideloading-Mechanismus für Android an: Apps von nicht verifizierten Entwicklern erfordern nun eine obligatorische 24-Stunden-Wartezeit vor der Installation. Teil des Entwickler-Verifizierungsmandats zur Reduzierung von Malware und betrügerischen Apps.

Quelle: The Hacker News

Operation Alice — 373.000 Darknet-Seiten abgeschaltet

Strafverfolgung

Eine internationale Strafverfolgungsoperation hat über 373.000 Darknet-Seiten stillgelegt, die gefälschte illegale Materialpakete anboten.

Quelle: BleepingComputer

Großbritannien verschärft Meldepflichten bei Cybervorfällen

Regulierung

Großbritannien verschärft die Meldepflichten bei Cybervorfällen für Organisationen und folgt damit dem NIS2-Trend der EU mit strengeren Anforderungen an die Offenlegung von Sicherheitsvorfällen.

Quelle: SecurityWeek

💰 Finanzierungen in der Sicherheitsbranche

Oasis Security — 120 Mio. $ für Agentic Access Management

F&E-Ausbau für KI-Framework-Zugriffsmanagement und Go-to-Market-Skalierung.

Cape — 100 Mio. $ für Mobilfunksicherheit

Datenschutzorientierter MVNO für Verbraucher, Unternehmen und Regierungen.

Eclypsium — 25 Mio. $ für Geräte-Lieferkettensicherheit

Ausbau der Firmware- und Lieferketten-Sicherheitsplattform.

1stProtect — 20 Mio. $ (Stealth Exit) für Endpoint-Sicherheit

Verhaltensüberwachung und Benutzerabsichtsverifikation zur Echtzeit-Abwehr von Angriffen.

Allure Security — 17 Mio. $ für Online-Markenschutz

Ausbau der digitalen Markenschutzplattform.

📊 Aufkommende Bedrohungsmuster

Wichtige Trends dieser Woche

1. Lieferkettenangriffe beschleunigen sich: Trivy/CanisterWorm zeigt, dass Angreifer Lieferkettenkompromittierungen verketten — ein Einbruch führt zu sich selbst verbreitenden Würmern über ganze Ökosysteme. Blockchain-basiertes C2 (ICP-Canisters) macht eine Abschaltung nahezu unmöglich.

2. Time-to-Exploit bricht zusammen: Langflow CVE-2026-33017 wurde innerhalb von 20 Stunden nach der Offenlegung ausgenutzt. Das Patch-Fenster ist für internetfähige Dienste faktisch null.

3. KI-gestütztes Phishing wird raffinierter: Verhaltensanalyse wird unverzichtbar, da KI personalisiertes Phishing generiert, das klassische Erkennung umgeht. Browserbasierte AITM-Angriffe und ClickFix-Techniken treiben größere Sicherheitsverletzungen voran.

4. Nationalstaatliches Targeting von Messaging-Apps: Russische Geheimdienste führen Kampagnen im industriellen Maßstab gegen verschlüsselte Messenger (Signal, WhatsApp). Vertrauensketten werden ausgenutzt — kompromittierte Konten werden für Phishing bei Kontakten eingesetzt.

5. IoT-Botnet-Skalierung erreicht Infrastrukturlevel: 31,4 Tbps DDoS-Kapazität aus kompromittierten Verbrauchergeräten. Selbst nach Abschaltungen bleibt die Population infizierter Geräte bestehen.

6. Regulatorische Verschärfung setzt sich fort: Großbritannien übernimmt NIS2-ähnliche Meldepflichten. Die Compliance-Belastung für EU-/UK-Organisationen steigt.

🇪🇺 NIS2 & KENSAI-Relevanz

Was das für KENSAI-Kunden bedeutet

Lieferkettenüberwachung: Die Trivy/npm-Kompromittierung unterstreicht, warum kontinuierliches Abhängigkeitsscanning wichtig ist. KENSAIs SBOM-Analyse und Abhängigkeitsprüfungen erkennen genau diese Muster.

Dringlichkeit im Patch-Management: Da CVE-Ausnutzungsfenster auf Stunden schrumpfen (Langflow) und CISA Same-Day-Patches vorschreibt (Cisco), ist automatisiertes Schwachstellenscanning nicht mehr optional — es ist überlebenswichtig.

NIS2-Meldepflichten: Die verschärften Meldepflichten in Großbritannien spiegeln NIS2-Artikel 23 wider. DACH-Organisationen stehen vor den gleichen Verpflichtungen. KENSAIs Compliance-Berichtsfunktionen adressieren diesen Bedarf direkt.

Messaging-Sicherheit: Die russische Signal-/WhatsApp-Kampagne ist ein Weckruf für jede Organisation, die für sensible Kommunikation auf Consumer-Messaging setzt.